Перейти к содержанию

про авз4

igorX

От igorX
в Компьютерная помощь

 Share

Рекомендуемые сообщения

igorX Продвинутый

igorX

Опубликовано
Опубликовано

Предыстория: Система Windows XP x64 SP2

 

Искал варезный Алкоголь, случайно запустился кряк с запароленными файлами внутри.

 

Обнаружил у себя их тут:

 

18.12.2009 21:06:57 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006715.exe/file1

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006737.exe/file1

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006737.exe/file2

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006737.exe/file3

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006738.exe/file1

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006739.exe/file1

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006740.exe/file1

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006740.exe/file2

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006740.exe/file3

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006741.exe/file1

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006741.exe/file2

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006741.exe/file3

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006742.exe/file1

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006742.exe/file2

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006742.exe/file3

18.12.2009 21:07:00 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006743.exe/file1

18.12.2009 21:07:01 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006744.exe/file1

18.12.2009 21:07:01 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006749.exe/file1

18.12.2009 21:07:01 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006749.exe/file2

18.12.2009 21:07:01 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006749.exe/file3

18.12.2009 21:07:01 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006753.exe/file1

18.12.2009 21:07:01 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006753.exe/file2

18.12.2009 21:07:01 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006753.exe/file3

18.12.2009 21:07:08 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006818.exe/PE_Patch/UPack/Patch.exe/file1

18.12.2009 21:07:08 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006818.exe/PE_Patch/UPack/Patch.exe/file2

18.12.2009 21:07:08 D:\System Volume Information\_restore{6483E3EC-5807-43CC-AB5A-5E375AA61D6B}\RP30\A0006818.exe/PE_Patch/UPack/Patch.exe/file3

 

Потом КАВ2009 перестал проверять папку D:\System Volume Information с алертом Доступ запрещен.

 

 

Ну я права себе на нее сделал: cacls "D:\System Volume Information" /E /G Administrator:F    и грохнул все руками (точнее скриптом зайца с перезагрузкой)

 

Теперь каспер не может проверить только C:\pagefile.sys с алертом Объект заблокирован и права на него не даются, так как уже используется процессом.

 

Нашел здесь: C:\WINDOWS\system32 файл ntoskrnl.exe 4,37 MB (4 587 520 bytes) подозрительный файл.

 

Теперь вопрос:

 

1. Должен ли быть этот файл там в моей системе с учетом 4-х ядерности проца (вроде тогда ntkrnlmp.exe будет ядром)

 

2. Должен ли он быть в базе безопасных файлов АВЗ4 - в открывающемся диалоге обзора авз4 его не видит, хотя другие экзешники есть.

 

?

Ссылка на комментарий
Поделиться на другие сайты
Mydoom Продвинутый

Mydoom

Опубликовано
Опубликовано (изменено)
Ну я права себе на нее сделал: cacls "D:\System Volume Information" /E /G Administrator:F    и грохнул все руками (точнее скриптом зайца с перезагрузкой)

:) А не проще ли было просто на время выключить восстановление системы?

Теперь каспер не может проверить только C:\pagefile.sys с алертом Объект заблокирован и права на него не даются, так как уже используется процессом.

Что вы хотите проверить в файле подкачки ?

Нашел здесь: C:\WINDOWS\system32 файл ntoskrnl.exe 4,37 MB (4 587 520 bytes) подозрительный файл.

Если есть сомнения, проверьте на VirusTotal

Изменено пользователем Mydoom
Ссылка на комментарий
Поделиться на другие сайты
igorX Продвинутый

igorX

Опубликовано
  • Автор
Опубликовано (изменено)

На Вирус Тотал файл ntoskrnl.exe не примут по размеру.

 

Восстановление системы отключено, а файлы в логе все равно существовали.

 

 

 

Раньше pagefile.sys не выдавал алерт "не обработано".

 

Какой процесс убить? Какую папку? Тут: D:\System Volume Information уже ничего нет и с правами на папку от админа каспер ее теперь проверяет.

 

Вопрос то был другой.

 

ЗЫ: Кто-нибудь может у себя на х64 системе проверить наличие указанной версии ядра по озвученному пути?

 

И если он там есть, то через зайца попробовать проверить его в базе безопасных файлов?

 

Еще странность, если запустить AVZ4 и задать задачу поиска файла по маске, то в каталоге C:\WINDOWS\system32 файл ntoskrnl.exe не находится.

 

Но в проводнике он виден.

 

А если искать именно его, то находит тут: C:\WINDOWS\Driver Cache\amd64\ntoskrnl.exe а тут не находит: C:\WINDOWS\system32 

 

Хотя я и вижу суслика...  :)

Изменено пользователем igorX
Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано

AVZ нестабильно работает на x64.

System Volume Information - это папка восстановления системы, вы не имеете прав доступа к ней. Очистить ее можно просто отключив восстановление системы

Ссылка на комментарий
Поделиться на другие сайты
igorX Продвинутый

igorX

Опубликовано
  • Автор
Опубликовано (изменено)

Невнимательно читали. Я написал в первом посте команду, которая выдает полные права на эту папку для пользователя, которого в ней указывают.

Была просьба посмотреть на подобной системе наличие этого файла и работу с ним авз.

 

UPDATE: Через форму отсылки файла на вирустотал он не виден. Браузер последняя Опера. Виден токо в проводнике...

Изменено пользователем igorX
Ссылка на комментарий
Поделиться на другие сайты
igorX Продвинутый

igorX

Опубликовано
  • Автор
Опубликовано (изменено)

Скопировался, результат проверки нулевой. А как насчет такого же поведения файла у других?

 

UPDATE: Вот тут C:\WINDOWS\Driver Cache\amd64 он тоже есть, но размер другой: 4,30 MB (4 519 424 bytes) и его заяц находит...

Изменено пользователем igorX
Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано (изменено)
Невнимательно читали. Я написал в первом посте команду, которая выдает полные права на эту папку для пользователя, которого в ней указывают.

Была просьба посмотреть на подобной системе наличие этого файла и работу с ним авз.

 

UPDATE: Через форму отсылки файла на вирустотал он не виден. Браузер последняя Опера. Виден токо в проводнике...

ntoskrnl.exe - это компонент ядра. Я так понимаю, AVZ считает его подозрительным?

Проверьте файл на ВТ, как вам советуют выше

Изменено пользователем Venus Doom
Ссылка на комментарий
Поделиться на другие сайты
igorX Продвинутый

igorX

Опубликовано
  • Автор
Опубликовано (изменено)

А должен ли быть у меня этот файл ядра? Ведь как я уже писал у меня 4 ядра и компонент для них по идее вот этот: ntkrnlmp.exe

 

ЗЫ: Вот тут он и есть: C:\WINDOWS\Driver Cache\amd64

Изменено пользователем igorX
Ссылка на комментарий
Поделиться на другие сайты
igorX Продвинутый

igorX

Опубликовано
  • Автор
Опубликовано (изменено)

А ссылку на список файлов Win XP x64 можете кинуть?

 

Вот, нагуглил:

 

You should make sure the %systemroot%\System32 and Driver Cache\i386 files are the same size and version number.

 

Нашел размер:

 

MS09-058: уязвимости в ядре Windows могут привести к несанкционированному получению прав

 

Для всех поддерживаемых версий Windows Server 2003 и Windows XP Professional для платформы x64

File Name        Version               Date        Time     Size     CPU Service branch

ntkrnlmp.exe   5.2.3790.4566 06-Aug-2009 13:47 4,587,520 X64     SP2GDR

ntoskrnl.exe    5.2.3790.4566 06-Aug-2009 13:47 4,519,424 X64     SP2GDR

 

 

Так что судя по размеру в C:\Windows\system32 лежит переименованный ntkrnlmp.exe

 

Осталось узнать, почему его ни Опера ни заяц не видят. 

Изменено пользователем igorX
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...